La era del hacker encapuchado que atesoraba Bitcoin en una billetera de la web oscura ha terminado.
En 2025, el centro de gravedad de la economía ilícita de las criptomonedas se alejó decisivamente de la volatilidad de la criptomoneda original y se acercó a un denso sistema en la sombra vinculado al dólar.
Según los nuevos datos de Chainalysis compartidos con criptopizarralas monedas estables representaron el 84% del volumen de transacciones ilícitas de 154 mil millones de dólares el año pasado, lo que marca un claro cambio en el riesgo hacia los dólares programables.
Este cambio estructural ha permitido a las redes chinas de lavado de dinero ampliar sus operaciones de “lavado como servicio”, mientras que estados-nación como Corea del Norte, Rusia e Irán se conectaron a estos mismos rieles para evadir los controles occidentales.
Por qué los delincuentes abandonaron Bitcoin
La tendencia más llamativa en los datos de 2025 es el desplazamiento de Bitcoin como moneda principal del crimen. Durante más de una década, Bitcoin fue sinónimo de actividad ilícita en línea, pero su dominio se ha erosionado constantemente desde 2020.
Como se muestra en el gráfico de actividad ilícita a continuación de 2020 a 2025, la participación de Bitcoin en los flujos sucios se ha desplomado año tras año, mientras que las monedas estables han aumentado para capturar la gran mayoría del mercado.
Esta migración no es accidental. Refleja las tendencias en la criptoeconomía legítima y más amplia, donde las monedas estables son cada vez más dominantes debido a sus beneficios prácticos: fácil transferencia transfronteriza, menor volatilidad que activos como Bitcoin o Ethereum y una utilidad más amplia en aplicaciones de finanzas descentralizadas (DeFi).
Sin embargo, estas mismas características han convertido a las monedas estables en el vehículo preferido de empresas criminales sofisticadas.
Entonces, el alejamiento de Bitcoin representa una modernización del crimen financiero.
Al aprovechar activos vinculados al dólar estadounidense, los actores criminales utilizan efectivamente una versión en la sombra del sistema bancario tradicional, uno que se mueve a la velocidad de Internet y opera fuera del alcance inmediato de los reguladores estadounidenses.
Esta “dolarización” del crimen permite a los cárteles y a los actores estatales liquidar pagos en una unidad de cuenta estable sin exposición a las fuertes oscilaciones de precios que caracterizan al resto del mercado criptográfico.
El giro geopolítico
Si el período de 2009 a 2019 fueron los “primeros días” de los ciberdelincuentes de nicho deshonestos, y el de 2020 a 2024 fue la era de la “profesionalización”, 2025 marcó la llegada de la “Ola 3”: actividad de los Estados-nación a gran escala.
En esta nueva fase, la geopolítica se ha movido en cadena. Los gobiernos ahora están recurriendo a los proveedores de servicios profesionalizados creados originalmente para los ciberdelincuentes y al mismo tiempo están creando su propia infraestructura personalizada para evadir sanciones a gran escala.
Rusia, en particular, demostró la viabilidad de los activos digitales respaldados por el Estado para evadir sanciones. Tras la legislación introducida en 2024 para facilitar tales actividades, el país lanzó su token A7A5 respaldado por rublos en febrero de 2025.
En menos de un año, el token realizó transacciones por más de 93.300 millones de dólares, lo que permitió a las entidades rusas eludir el sistema bancario global y mover valor a través de las fronteras sin depender de SWIFT o de los bancos corresponsales occidentales.
De manera similar, las redes proxy de Irán han seguido aprovechando la cadena de bloques para financiación ilícita.
Las billeteras confirmadas identificadas en las designaciones de sanciones muestran que las redes alineadas con Irán facilitaron el lavado de dinero, las ventas ilícitas de petróleo y la adquisición de armas y productos básicos por una suma de más de 2 mil millones de dólares.
A pesar de varios reveses militares, las organizaciones terroristas alineadas con Irán, incluidos el Hezbolá libanés, Hamás y los hutíes, están utilizando criptomonedas a escalas nunca antes observadas.
Corea del Norte también registró su año más destructivo hasta la fecha. Los piratas informáticos vinculados a la RPDC robaron 2.000 millones de dólares en 2025, una cifra impulsada por megaataques devastadores.
El más notable de ellos fue el exploit Bybit de febrero, que resultó en pérdidas de casi 1.5 mil millones de dólares, lo que marcó el mayor atraco digital en la historia de las criptomonedas.
Industrialización del blanqueo de capitales
Este aumento en el volumen está respaldado por el surgimiento de redes chinas de lavado de dinero (CMLN) como fuerza dominante en el ecosistema ilícito en cadena. Estas redes han ampliado drásticamente la diversificación y profesionalización del criptodelito.
Basándose en marcos establecidos por operaciones como Huione Guarantee, estas redes han creado empresas criminales de servicio completo.
Ofrecen capacidades especializadas de “lavado como servicio”, apoyando a una base de clientes diversa que va desde estafadores y operadores de estafas hasta piratas informáticos y financistas terroristas respaldados por el estado de Corea del Norte.
Una tendencia clave identificada en 2025 es la creciente dependencia, tanto de los actores ilícitos como de los Estados-nación, de proveedores de infraestructura que ofrecen una “pila completa” de servicios.
Estos proveedores, que son visibles en la cadena, han evolucionado desde revendedores de alojamiento especializados hasta plataformas de infraestructura integrada. Proporcionan registro de dominio, alojamiento a prueba de balas y otros servicios técnicos diseñados específicamente para resistir eliminaciones, quejas de abuso y aplicación de sanciones.
Al ofrecer una columna vertebral técnica resistente, estos proveedores amplifican el alcance de la actividad cibernética maliciosa. Permiten que delincuentes con motivación financiera y actores alineados con el Estado mantengan sus operaciones incluso cuando los organismos encargados de hacer cumplir la ley intentan desmantelar sus redes.
Convergencia de amenazas digitales y físicas
Si bien la narrativa del criptocrimen a menudo se centra en el robo y el lavado digitales, 2025 proporcionó pruebas contundentes de que la actividad en cadena se cruza cada vez más con los delitos violentos en el mundo físico.
Las operaciones de trata de personas han aprovechado cada vez más las criptomonedas para la logística financiera, moviendo los ingresos a través de fronteras con relativo anonimato.
Aún más inquietante es el aumento reportado de ataques de coerción física. Los delincuentes utilizan cada vez más la violencia para obligar a las víctimas a transferir activos, y a menudo programan estos ataques para que coincidan con los picos de precios de las criptomonedas para maximizar el valor del robo.
La actividad ilícita sigue siendo menos del 1% de la criptoeconomía
A pesar de estas tendencias alarmantes, el contexto más amplio sigue siendo importante. Los volúmenes ilícitos rastreados en 2025 siguen siendo menos del 1% de la criptoeconomía legítima.
Sin embargo, el cambio cualitativo en ese 1% es lo que preocupa a los reguladores y agencias de inteligencia. La integración de los Estados-nación en la cadena de suministro ilícita a través de monedas estables aumenta los riesgos para la seguridad nacional.
Mientras las agencias gubernamentales, los equipos de cumplimiento y los profesionales de la seguridad miran hacia 2026, el desafío será alterar una economía sumergida profesionalizada y patrocinada por el Estado que ha convertido con éxito en un arma la eficiencia de las finanzas modernas.
La cooperación entre las fuerzas del orden, los organismos reguladores y las empresas de criptomonedas será crucial, ya que la integridad del ecosistema ahora se cruza directamente con la estabilidad geopolítica global.
